Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) a publicat un set de cinci documente de îndrumare tehnică pentru a recomanda cele mai bune practici pentru implementarea verificării conforme a identității digitale la distanță și a autentificării biometrice.
Se are în vedere Identificarea Electronică și Serviciile de Încredere și regulamentul eIDAS mai general. Patru dintre rapoarte oferă îndrumări tehnice pentru Furnizorii de Servicii de Încredere Calificați/Qualified Trust Service Providers (QTSP) asupra cadrelor de securitate, recomandări de securitate pentru QTSP bazate pe standarde și îndrumări privind evaluarea conformității pentru furnizorii de servicii de încredere.
Într-un videoclip publicitar, ENISA (Agenția UE pentru Securitate Cibernetică) promovează adoptarea rapidă a serviciilor digitale online și capacitatea de a efectua tranzacții la distanță rapid, sigur și ieftin.
La pagina 87 a “Remote ID Proofing” sunt cuprinse îndrumări cuprinzătoare pentru utilizarea biometriei în sistemele de verificare a identității la distanță. Documentul definește termenii și rolurile implicate în verificarea identității și cinci pași ai procesului. La pasul patru, conectare/legare și verificare, ENISA consemnează că modul în care se realizează etapa de legare/conectare depinde de pașii precedenți de colectare și validare a atributelor, cu recunoașterea facială, de exemplu, conexarea persoanei cu detecția biometrică a vieții (n.n: capacitatea unui sistem de a detecta dacă o amprenta digitală sau un chipul, ori alt reper biometric, provin de la persoana reală prezentă la punctul de verificare, să nu fie folosite elemente contrafăcute sau provenite de la o persoană decedată). Ca alternativă e sugerată o confirmare video live de către un operator uman.
ENISA subliniază importanța standardelor existente, cum ar fi ISO/IEC 19795 pentru performanța și testarea motorului biometric, și ISO/IEC 30107 pentru detectarea atacurilor de prezentare biometrică (PAD) (n.n: fișier video sau poză, amprentă falsă, mască, machiaj etc) și că e o provocare adițională în găsirea seturilor de date de evaluare și învățare care sunt conforme cu GDPR.
Dintre cele cinci procese de verificare a identității descrise, biometria e o parte necesară în stabilirea identității automate la distanță, și e sugerată dacă e sprijinita de “video cu operator”. Biometria poate să sprijine procesul căilor de identificare electronică care trece printr-un furnizor de identitate, ca parte a autentificări bazată pe acreditări sau mijloace de identificare aflate în posesia solicitantului în etapa de conectare precum și în procesele “bazate pe certificate” în pașii de validare a semnăturii.
Agenția a primit semnale de la furnizorii de identitate pentru a identifica tendințele și abordările de ultimă generație și, pe baza respectivelor semnale face mai multe recomandări. Verificarea la distanță a ID/identității ar trebui să includă o combinație de metode pentru a fi cu adevărat fiabilă în ceea ce ENISA numește “cea mai eficientă metodă”, iar vizarea mai multor segmente de piață trebuie să fie suficient de flexibilă pentru a răspunde diferitelor nevoi de securitate și de reglementare în cadrul unei “abordări mixte”.
E în discuție utilizarea băncilor ca furnizori de identitate, și a transferurilor de bani cu identificarea de la distanță.
ENISA oferă o imagine de ansamblu a peisajului juridic/legal și a standardelor la diferite niveluri, inclusiv, dar nu limitat la eIDAS, și diferențierea de la țară la țară.
O secțiune despre managementul riscului prezintă îndrumări specifice și practice pentru Furnizorii de Servicii de Încredere și Furnizorii de Identitate cu privire la managementul riscurilor de securitate, cu validare video și SMS și selfie biometric folosite ca exemple.
La final, ENISA remarca lacune în reglementari, menționând că eIDAS se referă la recunoașterea metodelor de identitate la distanță la nivel național, dar care duc spre fragmentare, apoi face recomandări.
Recomandările includ recunoașterea încrucișată pentru metodele de verificare a identității și stabilirea criteriilor și metodologiei de evaluare pentru soluțiile de verificare la distanță a identității. Statele membre sunt îndemnate să sprijine verificarea automată, online a documentelor de identitate, dar și o bază de date cu documente emise, raportate ca pierdute și furate. Recomandările tehnice includ accesul uniform la datele guvernamentale și accent mărit pe verificări.
ENISA planifică alte inițiative pentru a sprijini integrarea economică suplimentară prin utilizarea sau verificarea la distanță a identității pentru accesul transfrontalier la serviciile online.
MihailAndrei's Blog 